Replay – Digitalizzazione, dematerializzazione e smart-working – L’importanza della Crittografia nella tutela dei dati durante il loro intero ciclo di vita

Il 26 maggio si è tenuta la tavola rotonda dal titolo “Digitalizzazione, dematerializzazione e smart-working – L’importanza della Crittografia nella tutela dei dati durante il loro intero ciclo di vita” durante la Cyber Security Virtual Conference 2021.

• Moderatore: Roberto Rossi, Ingegnere Informatico e Docente
• Marco Iannucci, CEO Boole Server
• Achille Paliotta, Social Data Researcher at INAPP
• Gianluigi Spagnuolo, Security researcher a Exein

Di seguito un breve estratto:

Roberto Rossi, Ingegnere Informatico e Docente

“Digitalizzazione, dematerializzazione e Smart Working hanno come riferimento la crittografia nella tutela dei dati durante il loro intero ciclo di vita. La tecnologia negli ultimi anni ha reso possibile lo svolgimento di attività in remoto fino a qualche tempo fa impensabili. Ciò ha permesso la reingegnerizzazione e l’adattamento di moltissime procedure sia in ambito aziendale che per la pubblica amministrazione, comportando così una digitalizzazione delle stesse e una dematerializzazione della maggior parte delle informazioni circolanti. Queste ovviamente devono essere custodite in maniera sicura su dei server che siano in house o in remoto o in cloud. La crittografia quindi gioca un ruolo cruciale per il mantenimento in sicurezza di queste informazioni attraverso strumenti che permettono di garantire i criteri di confidenzialità, autenticità, integrità, non ripudio e di sicurezza del dato.”

Marco Iannucci, CEO Boole Server

“L’aumento esponenziale dell’utilizzo del digitale ha comportato una crescita degli attacchi informatici rispetto al passato e quindi anche una necessità maggiore, soprattutto in ambito aziendale, di proteggersi.
Secondo Google Trends, a partire da marzo 2020, la parola “coronavirus” è stata la più cercata in tutto il mondo, compresa l’Italia. Questo naturalmente testimonia la direzione in cui era rivolta la nostra curiosità e la voglia di documentarsi su quello che stava accadendo.
Questo trend non è passato inosservato al cybercrime, che ha cercato di sfruttarlo e infatti tra febbraio e giugno 2020 i dati ci dicono che c’è stato un aumento di phishing malware vertiginoso rispetto agli anni precedenti che ha sfruttato proprio questa tematica, il 14% degli attacchi complessivi presenta un collegamento con la pandemia.
Il cybercrime si è mosso principalmente per cercare di estorcere denaro, rappresentando il 72% del totale degli attacchi. Per il rimanente 28% si è concentrato sullo spionaggio e sull’information warfare. Lo spionaggio ha invaso addirittura il campo della ricerca scientifica legata al vaccino Covid-19 colpendo enti di ricerca e aziende coinvolte nello sviluppo del vaccino, con grande rischio e pericolo anche per le nostre vite.
Questo rapporto evidenzia inoltre che nel 2020 c’è stato un generale aumento del 12% degli attacchi cyber nel mondo, rispetto all’anno precedente, e si stima che i danni provocati si aggirino intorno ai 3.400 miliardi di euro, circa il doppio del valore del PIL italiano.”

Achille Paliotta, Social Data Researcher at INAPP

“10 anni fa il modello sostanziale di sistemi informativi tradizionale era quello basato su uno approccio sull’applicazione e sul networking.
Questo approccio ha funzionato per anni, ma a causa della crescita smisurata di dati e soprattutto di quelli non strutturati, solitamente i Big Data, ha posto il problema di come gestire ed affrontare questa enorme massa di dati.
È nata l’esigenza di ripensare profondamente l’architettura, il modello logico su cui vengono progettati tutti i sistemi, anche quelli riguardanti la sicurezza.
Bisogna tenere conto che il dato è un elemento critico, una risorsa critica, e bisogna proteggerlo, laddove esso sia in cloud che on-premises etc.
In un modello tradizionale la divisione della sicurezza IT dell’impresa aveva delle finalità diciamo di sicurezza in se stessa, mentre l’attenzione va ora posta sulle informazioni personali, sui dati sensibili e sui dati che riguardano l’intelligence specifica di un azienda, che vanno difesi con questo approccio. Significa cambiare la visione complessiva dell’azienda, porre l’attenzione dei vertici aziendali su questo tipo di protezione.
Il modello datacentrico permette una serie di attività, di analitics, di scalabilità, di interoperabilità. Permette ad esempio di poter attuare su questi dati delle tecniche di Machine Learning e Deep Learning di Artificial Intelligence ecc. È un percorso che tutte le aziende devono fare e questa consapevolezza della centralità del dato è sicuramente significativa al giorno d’oggi.”

Gianluigi Spagnuolo, Security researcher a Exein

“Il primo elemento, quando scrivo un software per proteggere i dati, è la definizione dell’architettura. Il primo passo da fare, una volta definita l’archittetura, è quello di un threat model adeguato, che in questo caso ad esempio può essere utile ad identificare i dati da proteggere, identificare i possibili vettori di attacco, identificare i vari attaccanti. Dopo aver definito l’architettura, sempre nello stesso ambito si deve definire dove aggiungere il layer crittografico; posso intervenire a livello della applicazione, del database (se si tratta di applicazione web ad esempio) oppure a livello di file system, di disco e penso a LUKS o a BitLocker ecc.
Ovviamente non c’è la soluzione giusta per tutte le stagioni, idealmente servirebbero ad ogni caso d’uso più layer. Non basta ad esempio aggiungere quello a livello disco che mi metta al riparo solo da eventuali attacchi fisici.
Altro elemento da identificare quando si scrive un software che ha a che fare con la crittografia è l’algoritmo. Se devo usare la crittografia simmetrica posso usare un algoritmo AES a 128 o meglio a 256 bit. Per la crittografia asimmetrica meglio usare un sistema che usa Curve Ellittiche tipo curve25519 oppure, se questo non è possibile, un RSA con chiave molto grande, ad esempio 2048 bit o maggiore.”